Integração do pfSense com o AD. Vamos definir regras por usuários e grupos.

1. Professor: Cavalcante
Autenticação integrada ao AD
+
Regras por usuários e grupos do AD
Curso Completo pfSense
CavalcanteTrein@mentos

2. 1 – Pré-requisitos da aula
2 - Arquitetura e topologia
3 – Configuração do Active Directory
4 – Configuração do pfSense
4.1 – Execução e testes do script pf2ad
4.2 – Autoridade Certificadora
4.3 – Squid e SquidGuard
Agenda
CavalcanteTrein@mentos

3. 5 – Testes e resolução de problemas
6 – Configuração do Firewall
7 – Considerações finais
Agenda
CavalcanteTrein@mentos
Professor: Cavalcante

4. Pré-requisito
CavalcanteTrein@mentos
 pfSense instalado (*versão 2.3.2)
 Active Directory instalado
 Conhecimentos básicos de rede

5. Topologia
CavalcanteTrein@mentos

6. Configuração do pfSense
CavalcanteTrein@mentos
Criação de usuários e
grupos no Active
Directory
Professor: Cavalcante

7. Criação de usuários/grupos no AD
CavalcanteTrein@mentos
Integração com o Active Directory - pfsense (não precisar ser admin)
Usuários que são chefes - paulo e maria
Usuário que são funcionários - fernando e vanessa
Grupos dos chefes – chefes (paulo e maria)
Grupos dos funcionários – funcionários (fernando e vanessa)

8. Configuração do pfSense
CavalcanteTrein@mentos
Criação da CA Interna
no pfSense

9. Configuração do pfSense
CavalcanteTrein@mentos
Criação do certificado
do pfSense

10. Configuração do pfSense
CavalcanteTrein@mentos
Configurações básicas do DNS no pfSense
 Definir DNS (Controlador do domínio)
 Testar resolução (#drill www.ig.com.br)

11. Script pf2ad
CavalcanteTrein@mentos
O que script pf2ad faz?
 Adiciona alguns repositórios no pfsense (samba e pf2ad)
 Instala samba 3.6 e squid (caso não esteja instalado)
 Adiciona tela de configuração do samba
 Adiciona método de configuração NTLM no Squid
 Resolve alguns bugs
 Licença BSD

12. Script pf2ad
CavalcanteTrein@mentos
Execução do script de integração pf2ad
 fetch -q -o - http://projetos.mundounix.com.br/pfsense/2.3.2/samba3/pf2ad.sh | sh
 Verificar se o samba 3.6 foi instalado
# pkg info | grep samba
http://pf2ad.mundounix.com.br/pt/index.html
Autor: Luiz Gustavo

13. Configuração do samba
CavalcanteTrein@mentos
Configuração do samba
Inclusão do pfsense no AD
 Cuidado para não errar o usuário e a senha. A maioria dos problemas decorrem
desse erro.
 Verifiquem no AD se a máquina foi criada.

14. Configuração do samba
CavalcanteTrein@mentos
Testes iniciais de integração com AD
 Verificar se o pfsense foi adicionado ao domínio.
# net ads info
 Testar comunicação winbind
# wbinfo -p
 Buscar usuário no AD
#wbinfo -u

15. Configuração do Squid
CavalcanteTrein@mentos
Instalação/configuração
do Squid

16. Configuração do Squid
CavalcanteTrein@mentos
 Configurar modo autenticado
 Configurar autenticação tipo Winbind NTLM (atenção)
• Definir os parâmetros do AD.
 Não pode estar em modo no transparente (atenção)
 Realizar testes de acesso

17. Configuração do SquidGuard
CavalcanteTrein@mentos
Instalação/configuração
do SquidGuard

18. Configuração do SquidGuard
CavalcanteTrein@mentos
 Configurar autenticação LDAP, fique atento com a senha
 Criar os grupos de acesso:
 Chefes e funcionários
 Configurar autenticação por grupo LDAP
Fique atento com espaços e caracteres especiais
 Realizar as seguintes restrições:
 Chefes – Bloqueio de rede social
 Funcionários – Bloqueio de rede social e pornografia

19. Configuração do SquidGuard
CavalcanteTrein@mentos
ldapusersearch
ldap://192.168.1.10:3268/DC=cavalcante,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s
)(memberOf=CN=chefes%2cOU=grupos%20da%20organiza%C3%A7ao%2cDC=cavalcante%2cDC=local))
ldapusersearch
ldap://192.168.1.10:3268/DC=cavalcante,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberO
f=CN=chefes,OU=grupos,DC=cavalcante,DC=local))
 Consulta a grupo no AD usando SquidGuard

20. Testes de regras
CavalcanteTrein@mentos
Testes de acesso e
validação das regras

21. Configuração do pfSense
CavalcanteTrein@mentos
Configurar regras de Firewall
Permitir
DNS – UDP/53
Proxy – TCP/3128
SSH – TCP/22
Pode ser necessário abrir outras portas, dependendo da sua
política de segurança e necessidades do seu ambiente.

22. Gostou – Curti e Compartilha
Torne-se um aluno VIP:
http://www.cavalcantetreinamentos.com.br
É só se cadastrar em nossa lista
Professor: Cavalcante